Gen AI senkt die Kosten rechtlicher Schritte — Unternehmen sollten sich vorbereiten

• KI macht es für Kunden, Mitarbeiter, Wettbewerber und Regulierungsbehörden einfacher und günstiger, rechtliche Schritte einzuleiten
• Künftige Rechtsrisiken werden in Form rechtlicher Anfragen auftreten, die Internet-Phishing-Angriffen ähneln: nicht persönlich, sondern massenhaft erstellt und von verschiedenen Akteuren ausgelöst
• Organisiert kann dies wie ein DDoS-Angriff ablaufen, bei dem ein Ziel durch einströmenden Traffic lahmgelegt wird
• Unternehmen sollten sich an Gegenmaßnahmen aus der Cybersicherheit orientieren und zügig Strategien zur Identifizierung von Schwachstellen, Analyse von Auswirkungen, Risikominderung und Kommunikation mit Stakeholdern entwickeln

Das Potenzial für einen tiefgreifenden Wandel bei Rechtsdienstleistungen

• Im vergangenen Jahr schlug das US-Finanzministerium ein Gesetz vor, das die Offenlegung von Krypto-Informationen zur Bekämpfung von Steuerhinterziehung ausweiten sollte
• Die Kryptoindustrie wehrte sich heftig und argumentierte, die Pflichten seien zu weit gefasst
• Eine Entwickler-/Anwalts-Community namens "LexPunk Army", die der DeFi-Branche rechtliche Unterstützung bietet, veröffentlichte einen KI-Bot, mit dem jeder Stellungnahmen zum Regelentwurf einreichen konnte
• Dank dieses Bots wurde es einfach, Stellungnahmen im korrekten Format einzureichen; die Flut an Einsendungen verzögerte das Vorgehen des Finanzministeriums und schuf eine Grundlage für spätere rechtliche Anfechtungen
• Üblicherweise gehen zu neuen Regulierungen etwa drei Stellungnahmen ein, bei diesem Entwurf waren es 120.000
• Die endgültige Regel wurde deutlich abgeschwächt; die Blockchain Association bewertete dies als Ergebnis einer starken Stimme von Branche und Community
• Das wirft die Frage auf, ob dies nur ein einmaliger Sieg einer kleinen, technik- und rechtskundigen Gruppe bleibt oder ob es breite Verwerfungen in der Art auslöst, wie Einzelpersonen und Unternehmen das Recht nutzen
• Wir glauben Letzteres und sehen darin ein typisches Beispiel dafür, wie Technologie Rechtsdienstleistungen und -verfahren massiv verstärken und damit zugleich Chancen und Herausforderungen für Staat und Unternehmen schaffen kann

Eine instabile Weltlage

• Nicht nur das Recht wird digitalisiert, auch die Weltlage verändert sich
• Derzeit nimmt die rechtliche Exponierung insgesamt zu, getrieben von geopolitischer Instabilität und einer Schwächung der Rechtsstaatlichkeit
• Traditionelle rechtliche Mechanismen, die Unternehmensverhalten regulierten, brechen weg
  • Das WTO-Streitbeilegungsverfahren ist handlungsunfähig
  • Neue Kriege bedeuten neue Sanktionen
  • Staaten führen eigene Regulierungen ein, wodurch komplexe Vorschriften entstehen, die eingehalten werden müssen
  • Politiker drohen damit, Wettbewerber in traditionell freien und fairen Jurisdiktionen strafrechtlich zu verfolgen und Wahlergebnisse anzufechten
• Diese Unordnung schafft neue Rechtsrisiken für globale Unternehmen
• Laut einer Umfrage aus dem Jahr 2022 gaben 99 % der Inhouse-Juristen an, dass rechtliche Probleme deutlich zugenommen haben und komplexer geworden sind
• Rechtliche Schritte können von Akteuren ausgehen, die wirtschaftliche oder politische Vorteile suchen — darunter Wettbewerber, Mitarbeiter, Kunden und staatliche Regulierungsbehörden

Sinkende Rechtskosten

• Unternehmen geben jährlich Hunderte Millionen Dollar für Rechtsdienstleistungen aus
• Wer Anwälten Tausende Dollar pro Stunde zahlt, hat womöglich nicht den Eindruck sinkender Rechtskosten — doch ein grundlegender Wandel ist zu erwarten
• Am Beispiel einer Stellungnahme zu dem rund 100.000 Wörter umfassenden Krypto-Regelvorschlag des Finanzministeriums zeigt sich:
  • Wenn ein Durchschnittsbürger 225 Wörter pro Minute liest, dauert allein das Lesen des Entwurfs acht Stunden
  • Das Verfassen einer Antwort kann weitere zwei Stunden dauern
  • Dabei ist Analysezeit nicht eingerechnet; berücksichtigt wird nur die Zeit zum Verstehen und Schreiben einer Antwort
  • Bei einem durchschnittlichen Unternehmenssatz von 500 Dollar pro Stunde ergeben sich für zehn Stunden 5.000 Dollar
  • Wenn teurere Anwälte umfangreichere Arbeiten übernehmen, können die Kosten erheblich höher ausfallen
• Als jedoch ein Large Language Model (LLM) mit dem Entwurf gefüttert wurde, erzeugte es binnen Minuten eine knappe und leicht verständliche Zusammenfassung
• Gab man dem LLM unterschiedliche Rollen wie Bitcoin-Broker oder Bitcoin-Käufer, erklärte es aus jeder Perspektive, warum diese Regel relevant ist, und formulierte einreichbare Stellungnahmen
  • Das kostet praktisch weder Zeit noch Geld
• Was aber, wenn solche Werkzeuge gegen Unternehmen missbraucht werden?
  • Was, wenn ein Wettbewerber, der sich durch den Eintritt eines Unternehmens in einen neuen Markt bedroht fühlt, mit KI-Tools öffentlich verfügbare Informationen durchforstet und Hunderte Klagen wegen Urheberrechtsverletzung, Verletzung geistigen Eigentums oder Diebstahls von Geschäftsgeheimnissen einreicht?
  • Was, wenn Sie ein kleines Restaurant oder Café betreiben und jedes Smartphone im Laden das Verhalten von Mitarbeitern erfasst, sodass mit nur wenigen Klicks Klagen wegen Diskriminierung eingereicht werden können?
  • Was, wenn unzufriedene Kunden auf einer Plattform mit ein paar Klicks Beschwerden einreichen, die ihnen mehr Entschädigung bringen und höhere Anwaltskosten verursachen als ein Vergleich?
• Unternehmen entgehen einer Sanktion für Rechtsverstöße oft deshalb, weil die Kosten einer rechtlichen Gegenwehr hoch sind
• Mitarbeiter, Kunden und Wettbewerber gehen vorsichtig vor, weil Rechtsstreitigkeiten Zeit, Geld und Aufmerksamkeit kosten
• Wenn rechtliche Schritte jedoch viel leichter werden, wird mehr geklagt werden
• Dadurch verschwindet der asymmetrische Vorteil von Unternehmen mit reichlich juristischen Ressourcen und Expertise, und das Spielfeld wird nivelliert
• Das kann in manchen Fällen der Gerechtigkeit dienen, in anderen ungerechtfertigte Angriffe fördern
• In jedem Fall eröffnet es Unternehmen eine neue Welt rechtlicher Risiken

Ein neues Cyber-Risiko

• Rechtsrisiken mögen in dieser Form ungewohnt sein, doch die Cybersicherheit befasst sich seit Jahrzehnten mit Risiken in großem Maßstab und bietet nützliche Lehren für die kommende Welle rechtlicher Schritte
• Man stelle sich vor, Hunderte Unternehmen würden Daten über die Arten rechtlicher Schritte, denen sie ausgesetzt sind, und über die technologischen Systeme, die sie erzeugen, austauschen oder gemeinsam in Technologien zur Erkennung und Verringerung von Schwachstellen investieren
  • In der Cybersicherheit ist das üblich
  • Von CVE (Common Vulnerabilities and Exposures) bis NVD (National Vulnerability Database) haben Regierungen, Unternehmen, Wissenschaft und Bug-Bounty-Jäger die Bedeutung von Informationsaustausch erkannt
• Doch CEOs oder General Counsel davon zu überzeugen, die rechtlichen Schwachstellen und Exponierungen ihres Unternehmens offenzulegen, dürfte schwierig sein
  • Sie würden sofort mit Verweis auf Anwaltsgeheimnis, Vertraulichkeit oder Kartellrecht widersprechen
  • Diese Einschätzung beruht auf einer vertrauten Struktur rechtlicher Risiken: konkreten rechtlichen Schritten durch bestimmte Akteure
• Künftige Rechtsrisiken werden jedoch eher wie Internet-Phishing-Angriffe aussehen
  • Nicht persönlich, sondern massenhaft produziert und von vielen verschiedenen Akteuren ausgelöst
  • Organisiert könnten sie wie DDoS-Angriffe funktionieren und ein Ziel durch eine Flut eingehender Vorgänge lahmlegen
  • Das ähnelt dem Versuch, das Finanzministerium mit einer Lawine von Stellungnahmen zu überrollen
• DDoS-Angriffe wirken zunächst wie eine kleine Unannehmlichkeit und werden dann plötzlich ernst
  • So wie Anfragen an einen Server ein normaler Teil des Internets sind, sind Stellungnahmen zu Regelentwürfen oder Kundenbeschwerden ein normaler Teil des Verwaltungsrechts und der Ausübung von Verbraucherrechten
  • Kommen jedoch zu viele Anfragen gleichzeitig, bricht das System zusammen
• In der Cybersicherheit gilt grundsätzlich die Einsicht, dass Cyber-Instabilität für alle schlecht ist — außer für Kriminelle und feindliche Akteure
  • Unternehmen können zwar dafür verantwortlich gemacht werden, sich selbst und sensible Kundendaten nicht geschützt zu haben, werden in den meisten Fällen aber als Opfer betrachtet
  • Die Angriffe Petya (2016) und NotPetya (2017) nutzten dieselbe Schwachstelle, um Dateien von Nutzern zu verschlüsseln, verfolgten jedoch unterschiedliche Ziele
    • Petya war von Kriminellen verbreitete Ransomware; Daten konnten nur gegen Zahlung wiederhergestellt werden
    • NotPetya wurde mutmaßlich von Russland mit dem Ziel der Datenzerstörung verbreitet
    • In beiden Fällen galten betroffene Unternehmen wie Maersk als Opfer
• Können wir wirklich ausschließen, dass staatliche Akteure wie Russland ähnliche Angriffe nicht über Unternehmen oder ein bereits überlastetes Rechtssystem auf das Rechtssystem selbst ausführen werden?
  • Nordkorea, Russland und Iran haben die USA wegen Rassismus und ungleichem Zugang zur Justiz kritisiert
  • Sie könnten die USA bloßstellen und das Vertrauen in große Unternehmen untergraben, indem sie verärgerten Kunden oder Wettbewerbern KI-gestützte Litigation-Services anbieten
• Erpresser werden durch das Risiko einer Bestrafung begrenzt, aggressive rechtliche Strategien zu verfolgen ist jedoch legal
  • Es ist sogar leicht, sich selbst davon zu überzeugen, dass solche Angriffe ein effizienter Weg seien, Gerechtigkeit herzustellen und Machtungleichgewichte auszugleichen
• Mit zunehmenden Rechtsbedrohungen wird es schwieriger zu erkennen, wer auf Geld aus ist und wer Betroffene ohne eigene Angriffskosten durch schmerzhafte und peinliche Disclosure-Verfahren treiben will
  • In einer Lage, in der Informationen und Rauschen schwer zu unterscheiden sind, werden neue Techniken nötig sein, um Rechtsrisiken herauszufiltern
  • Dass KI mit KI bekämpft wird, ist ein naheliegendes Ergebnis

Ein neuer rechtlicher Schutzschild

• Derzeit behandeln Unternehmen wesentliche Rechtsrisiken auf Vorstandsebene; rechtliche Schritte und Vorfälle tauchen erst dann auf dem Risiko-Radar auf, wenn sie bestimmte Wesentlichkeitsschwellen erreichen
  • Das ist jedoch nicht die richtige Filtermethode für künftige Rechtsrisiken
• Um sich auf diese neue Realität vorzubereiten, sollte man sich an den Reaktionsmustern der Cybersicherheit orientieren
  • Schwachstellen, neue Bedrohungen und potenzielle Auswirkungen, Maßnahmen zur Risikominderung sowie Strategien zur Kommunikation mit internen und externen Stakeholdern müssen schnell identifiziert werden
  • Die Kanzlei DLA Piper identifiziert gemeinsam mit Unternehmen Schwachstellen durch Übungen mit einem „Legal Red Team“
• Legen Sie zunächst Kernansätze und Strategien fest
  • So können Technologieinvestitionen zur Bewältigung steigender Rechtsrisiken entschieden werden
  • Natürlich wird auch der klassische Ansatz über mehr Personal — also zusätzliche Inhouse-Juristen oder ausgelagerte Kanzleiarbeit — vorerst wirksam bleiben
• Als Nächstes sollten Strategie- und Rechtsteam gemeinsam die aktuelle Lage analysieren
  • Wo sind die Kernmärkte? Welche Wettbewerber würden für Marktanteile jedes Mittel einsetzen?
  • Welchen Rechtssystemen ist das Unternehmen ausgesetzt, und wie würden diese bei KI-gestützten massenhaften Rechtsangriffen funktionieren?
  • Gibt es Märkte, aus denen man sich zurückziehen sollte? Welche Maßnahmen zur Risikominderung können die Anfälligkeit schon jetzt senken?
• Wichtig ist auch, globale Entwicklungen zu beobachten
  • Ein CVE-System für Rechtsrisiken gibt es nicht, aber dank der Digitalisierung juristischer Arbeit und Bemühungen um mehr Transparenz in Justizsystemen sind reichlich Daten vorhanden
  • Kombiniert mit bestehenden Daten zu Rechtsrisiken ergibt das einen hervorragenden Ausgangspunkt
• Sobald Risiken identifiziert sind, sollten Reaktionsteams gebildet sowie Systeme und Prozesse für die Reaktion entworfen werden
  • Prüfen Sie Frameworks für Best Practices der Cybersicherheit wie NIST CSF 2.0 und sprechen Sie mit Ihrem internen Cybersicherheitsteam
  • Rechtsverantwortliche können viel daraus lernen, wie CISOs einen SOC betreiben
• Suchen Sie externe Partner, die für Zusammenarbeit offen sind
  • Mit Branchenverbänden, Partnerunternehmen und einigen Behörden lassen sich umfassende Reaktionskonzepte für bestimmte Angriffstypen entwickeln
  • Eine Welle leichtfertiger Ansprüche im Bereich geistiges Eigentum kann zur Grundlage für Lobbyarbeit zugunsten regulatorischer oder gesetzgeberischer Unterstützung werden
• Abschließend ein Hinweis: Unterschätzen Sie dieses Risiko nicht
  • Dank der Technologie musste das Finanzministerium 120.000 Stellungnahmen bearbeiten
  • „Bereiten Sie sich vor, bevor die juristische Flut einsetzt“